Gedragscontrole in Microsoft Defender Antivirus
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender voor Bedrijven
- Microsoft Defender voor individuen
- Microsoft Defender Antivirus
Gedragscontrole is een essentiële detectie- en beveiligingsfunctionaliteit van Microsoft Defender Antivirus.
Bewaakt procesgedrag om potentiële bedreigingen te detecteren en te analyseren op basis van het gedrag van toepassingen, services en bestanden. In plaats van alleen te vertrouwen op detectie op basis van handtekeningen (waarmee bekende malwarepatronen worden geïdentificeerd), is gedragsbewaking gericht op het observeren van hoe software zich in realtime gedraagt. Dit houdt in:
Real-Time Detectie van bedreigingen:
- Bekijk continu processen, bestandssysteemactiviteiten en interacties binnen het systeem.
- Defender Antivirus kan patronen identificeren die zijn gekoppeld aan malware of andere bedreigingen. Er wordt bijvoorbeeld gezocht naar processen die ongebruikelijke wijzigingen aan bestaande bestanden aanbrengen, het wijzigen of maken van ASEP-sleutels (Automatic Startup Registry) en andere wijzigingen in het bestandssysteem of de structuur.
Dynamische aanpak:
In tegenstelling tot statische detectie op basis van handtekeningen, wordt gedragsbewaking aangepast aan nieuwe en veranderende bedreigingen.
Microsoft Defender Antivirus maakt gebruik van vooraf gedefinieerde patronen en ziet hoe software zich gedraagt tijdens de uitvoering. Voor malware die niet past bij een vooraf gedefinieerd patroon, maakt Microsoft Defender Antivirus gebruik van anomaliedetectie.
Als een programma verdacht gedrag vertoont (bijvoorbeeld door kritieke systeembestanden te wijzigen), kan Microsoft Defender Antivirus actie ondernemen om verdere schade te voorkomen en sommige eerdere malwareacties terug te zetten.
Gedragscontrole verbetert het vermogen van Defender Antivirus om opkomende bedreigingen proactief te detecteren door zich te richten op realtime acties en gedrag in plaats van alleen te vertrouwen op bekende handtekeningen.
De volgende functies zijn afhankelijk van gedragscontrole.
Antimalware:
- Indicatoren, Bestands-hash, toestaan/blokkeren
Netwerkbeveiliging:
- Indicatoren, IP-adres/URL, toestaan/blokkeren
- Webinhoud filteren, toestaan/blokkeren
Opmerking
Gedragscontrole wordt beveiligd door manipulatiebeveiliging.
Als u gedragscontrole tijdelijk wilt uitschakelen om dit uit de foto te verwijderen, moet u eerst de probleemoplossingsmodus inschakelen, manipulatiebeveiliging uitschakelen en vervolgens gedragscontrole uitschakelen.
Het beleid voor gedragscontrole wijzigen
In de volgende tabel ziet u de verschillende manieren om gedragscontrole te configureren.
| Beheerhulpprogramma | Naam | Koppelingen |
|---|---|---|
| Beheer van beveiligingsinstellingen | Gedragscontrole toestaan | Dit artikel |
| Intune | Gedragscontrole toestaan | Windows Antivirus-beleidsinstellingen voor Microsoft Defender Antivirus voor Intune |
| CSP | AllowBehaviorMonitoring | Defender Policy CSP |
| tenantkoppeling Configuration Manager | Gedragscontrole inschakelen | Beleidsinstellingen voor Windows Antivirus van Microsoft Defender Antivirus voor apparaten die zijn gekoppeld aan tenants |
| Groepsbeleid | Gedragscontrole inschakelen | Referentieblad voor groepsbeleid instellingen voor Windows 11 2023-update downloaden (23H2) |
| PowerShell | Set-Preference -DisableBehaviorMonitoring | Set-MpPreference |
| WMI | Booleaanse DisableBehaviorMonitoring; | MSFT_MpPreference klasse |
Als u Microsoft Defender voor Bedrijven gebruikt, raadpleegt u Beveiligingsbeleid van de volgende generatie controleren of bewerken in Microsoft Defender voor Bedrijven.
De instellingen voor gedragscontrole wijzigen met behulp van PowerShell
Gebruik de volgende opdracht om de instellingen voor gedragscontrole te wijzigen:
Set-MpPreference -DisableBehaviorMonitoring <true | false>
TrueHiermee schakelt u Gedragscontrole uit.FalseHiermee schakelt u Gedragscontrole in.
Zie Set-MpPreference voor meer informatie.
Een query uitvoeren op de status van gedragscontrole vanuit PowerShell
Get-MpComputerStatus | Format-Table BehaviorMonitorEnabled
Als de geretourneerde waarde is, is truegedragscontrole ingeschakeld.
Query's uitvoeren op de status van gedragscontrole met behulp van Geavanceerde opsporing
U kunt Advanced Hunting (AH) gebruiken om de status van gedragscontrole op te vragen.
Vereist Microsoft Defender XDR, Microsoft Defender voor Eindpunt Abonnement 2 of Microsoft Defender voor Bedrijven.
let EvalTable = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId in ("scid-91")
| summarize arg_max(Timestamp,IsCompliant, IsApplicable) by DeviceId, ConfigurationId,tostring(Context)
| extend Test = case(
ConfigurationId == "scid-91" , "BehaviorMonitoring",
"N/A"),
Result = case(IsApplicable == 0,"N/A",IsCompliant == 1 , "Enabled", "Disabled")
| extend packed = pack(Test,Result)
| summarize Tests = make_bag(packed) by DeviceId
| evaluate bag_unpack(Tests);
let DefUpdate = DeviceTvmSecureConfigurationAssessment
| where ConfigurationId == "scid-2011"
// | where isnotnull(Context)
| extend Definition = parse_json(Context[0][0])
| extend LastUpdated = parse_json(Context[0][2])
| project DeviceId,Definition,LastUpdated;
let DeviceInformation = DeviceInfo
| where isnotempty(OSPlatform)
| summarize arg_max(Timestamp,*) by DeviceId, DeviceName
| project DeviceId, DeviceName, MachineGroup;
let withNames = EvalTable
| join kind = inner DeviceInformation on DeviceId
| project-away DeviceId1
| project-reorder DeviceName, MachineGroup;
withNames | join kind = fullouter DefUpdate on DeviceId
| project-away DeviceId1
| sort by BehaviorMonitoring asc
Problemen met hoog CPU-gebruik oplossen
Detecties met betrekking tot gedragscontrole beginnen met 'Gedrag'.
Wanneer u een hoog CPU-gebruik in MsMpEng.exeonderzoekt, kunt u gedragscontrole tijdelijk uitschakelen om te zien of de problemen zich blijven voordoen.
U kunt Performance Analyzer voor Microsoft Defender Antivirus gebruiken om \path\process,proces en/of bestandsextensies te vinden die bijdragen aan het hoge CPU-gebruik. U kunt deze items vervolgens toevoegen aan Contextuele uitsluiting.
Zie Performance Analyzer voor Microsoft Defender Antivirus voor meer informatie.
Als u een hoog CPU-gebruik ziet dat wordt veroorzaakt door gedragscontrole, kunt u doorgaan met het oplossen van het probleem door elk van de volgende items in volgorde terug te zetten. Schakel gedragscontrole opnieuw in nadat elk item is teruggedraaid om te bepalen waar het probleem zich kan voordoen.
- platformupdate
- engine-update
- update van beveiligingsinformatie.
Als u nog steeds problemen ondervindt met een hoog CPU-gebruik, neemt u contact op met Microsoft-ondersteuning en houdt u uw Client Analyzer-gegevens bij de hand.
Als gedragscontrole het probleem niet veroorzaakt, gebruikt u Performance Analyzer voor Microsoft Defender Antivirus om logboekgegevens te verzamelen. Verzamel twee verschillende logboeken met behulp van a -c en a -a. Houd deze informatie bij de hand wanneer u contact opneemt met Microsoft-ondersteuning.
Zie Gegevens verzamelen voor geavanceerde probleemoplossing in Windows voor meer informatie.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor